IISpy Backdoor

До Mezo през Backdoorsг

Превод на:

IISpy е новооткрита задна врата, която е насочена към Internet Information Services, софтуера за уеб сървър, разработен от Microsoft. Заплахата е способна да изпълнява повредени команди, докато нейните нови техники за откриване и избягване осигуряват дългосрочното присъствие на IISpy в компрометираните системи. Веригата за атака на операцията най -вероятно започва с участниците в заплахата, използващи уязвимост в сървъра на IIS, за да се закрепят. След това те внедряват инструмент за ескалация на привилегии, известен като Juicy Potato. Нападателите използват получените административни привилегии, за да внедрят IISpy като родно разширение за МКС. Досега жертви на заплахата са открити в Канада, САЩ и Холандия.

Заплашителни възможности

IISpy е внедрен в заразената система като собствен IIS модул, разгърнат в папките %windir %\ system32 \ inetsrv \ или %windir %\ SysWOW64 \ inetsrv. Заплахата може да бъде наречена cache.dll или logging.dll . Изпълнението и постоянството се постигат чрез конфигуриране на IISpy като IIS разширение в конфигурационния файл %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config.

Като е конфигурирана като IIS разширение, заплахата може да вижда всички входящи HTTP заявки на заразения сървър. Трябва да се отбележи, че IISpy действа като пасивен мрежов имплант, т.е. не установява комуникация със своя сървър за управление и управление (C&C, C2). Вместо това нападателите трябва да инициират контакт със заплахата, като изпратят специална HTTP заявка. Заплахата извлича вградената задна команда и продължава с нейното изпълнение. Всички законни HTTP заявки се игнорират и се оставят да се обработват от нормалните сървърни модули. Функцията, застрашаваща IISpy, включва събиране на системна информация, извличане или качване на файлове, изпълнение на команди или файлове на обвивка, манипулиране на файловата система, създаване на картиране между локално и отдалечено устройство и извличане на данни.

Анти-съдебни техники

За разлика от другите наблюдавани задни врати на IIS, които се контролират чрез твърдо кодирани пароли, персонализирани HTTP заглавки или специфични URL адреси, IISpy използва уникална структура за своите заявки за контролер. В резултат на това регистрите на заплахата са по -трудни за определяне. Изходящите отговори използват различна техника. Заплахата вгражда отговора си в фалшиво PNG изображение, като информацията се инжектира между заглавките на PNG файла. Цялата комуникация със сървъра C&C е криптирана с AES-CBC и base64 кодирани.

В допълнение, IISpy реализира манипулатор на събития OnLogRequest. Той позволява на заплахата да променя записи в дневника, свързани с входящите заявки от нападателите и да ги маскира като нормално изглеждащи заявки.